Operação AD Phishing da PF: golpes com sites falsos e IA
A Operação AD Phishing da Polícia Federal revelou golpes com sites falsos de INSS, Receita e Caixa usando IA. Veja como identificar e se proteger.
Rita Cavalcanti
Uma nova frente de investigação da Polícia Federal acendeu o sinal de alerta para milhões de brasileiros que dependem de serviços públicos digitais no dia a dia. A chamada Operação AD Phishing jogou luz sobre um esquema criminoso que combina duas armas perigosas: sites falsos que imitam com precisão portais de órgãos públicos e ferramentas de inteligência artificial capazes de tornar o golpe praticamente irreconhecível para o olho leigo. O resultado é um cenário em que aposentados, pensionistas, trabalhadores CLT e beneficiários de programas sociais viram alvo preferencial de quadrilhas cada vez mais sofisticadas.
Se você já pesquisou no Google por "consulta INSS", "restituição do Imposto de Renda", "saque FGTS" ou "Bolsa Família cadastro", provavelmente esbarrou em resultados patrocinados ou páginas com layout muito parecido com o oficial. É exatamente nesse ponto de entrada que os criminosos vêm se instalando. E, com a popularização de modelos de IA generativa, o nível de perfeição desses sites clonados deu um salto: textos sem erros, imagens idênticas, chats de "atendimento" que respondem em tempo real e até áudios com voz humana convincente.
Neste guia, você vai entender o que a Polícia Federal descobriu na Operação AD Phishing, como funciona por dentro a engrenagem desse golpe, quais são os sinais que denunciam um site falso e, principalmente, o passo a passo prático para não perder dinheiro nem ter dados sensíveis roubados.
O que é a Operação AD Phishing da Polícia Federal
A Operação AD Phishing foi deflagrada pela Polícia Federal para desarticular um grupo criminoso especializado em fraudes digitais que se apoiavam em duas frentes complementares. A primeira frente era a criação de páginas falsas que copiavam a identidade visual de órgãos públicos — logotipos, cores, tipografia, menus e até endereços de URL parecidos com os oficiais. A segunda frente era o uso de anúncios pagos em buscadores e redes sociais para colocar esses sites falsos entre os primeiros resultados quando o cidadão pesquisava por serviços do governo.
O nome da operação faz referência direta à técnica usada: "AD" remete a advertising, ou seja, anúncios pagos, e "phishing" é o termo consagrado em segurança digital para o golpe em que criminosos "pescam" dados pessoais e financeiros da vítima por meio de páginas ou mensagens fraudulentas. A combinação dos dois — anúncio patrocinado somado a site clonado — é o que torna o esquema especialmente perigoso, porque o usuário chega à página falsa achando que está entrando no canal oficial.
A investigação apontou que o grupo mirava serviços de alta procura da população, como consultas previdenciárias, emissão de documentos, restituição de tributos e programas de transferência de renda. Para o cidadão comum, o recado da PF é direto: o problema não é raro nem isolado. Trata-se de uma indústria organizada, com divisão de tarefas entre quem cria os sites, quem compra os anúncios, quem opera o "atendimento" falso e quem faz a lavagem do dinheiro desviado.
Como funcionam os golpes com sites falsos de órgãos públicos
Para se proteger, é fundamental entender o passo a passo do golpe pelo lado de dentro. O esquema costuma seguir uma sequência bem definida.
Etapa 1 — Clonagem do site oficial. Os criminosos copiam a estrutura visual e a lógica de navegação de portais como os do INSS, da Receita Federal, da Caixa Econômica Federal, do Ministério do Trabalho e de programas sociais. A página falsa é hospedada em um domínio parecido com o verdadeiro, muitas vezes trocando uma letra, acrescentando um hífen ou usando terminações diferentes de ".gov.br".
Etapa 2 — Compra de anúncios. Em vez de esperar que a vítima chegue por acaso, os golpistas pagam para que o site clonado apareça no topo dos resultados de busca ou em anúncios de redes sociais. Como muita gente clica no primeiro resultado sem checar o endereço, a taxa de acerto do criminoso é alta.
Etapa 3 — Coleta de dados. Ao entrar na página falsa, a vítima é convidada a informar CPF, data de nascimento, número do benefício, senha do Meu INSS, dados bancários, número do cartão e até selfies com documento. Tudo isso vai direto para o banco de dados dos criminosos.
Etapa 4 — Cobrança de "taxas". Em muitos casos, o golpe não para no roubo de dados. A página falsa exibe uma mensagem dizendo que existe um valor pendente para liberar um benefício, uma restituição ou um saque. É pedido um Pix de valor variável, muitas vezes apresentado como "taxa de liberação", "antecipação" ou "regularização cadastral". O dinheiro cai na conta dos golpistas e nunca há benefício algum a receber.
Etapa 5 — Uso posterior dos dados. Mesmo quem não paga o Pix pode ser vítima em uma segunda onda. Com CPF, senha e dados bancários em mãos, os criminosos tentam contratar empréstimos consignados fraudulentos, fazer compras online, abrir contas digitais em nome da vítima e vender esses dados para outras quadrilhas.
É importante reforçar: nenhum órgão público cobra taxa por Pix para liberar benefício, restituição, FGTS, seguro-desemprego, Bolsa Família ou revisão de aposentadoria. Se aparecer cobrança, é golpe.
O papel da inteligência artificial nos novos golpes digitais
A grande novidade exposta pela Operação AD Phishing é o uso pesado de inteligência artificial para dar credibilidade ao golpe. Até pouco tempo atrás, era relativamente fácil identificar um site fraudulento: textos com erros de português, imagens de baixa qualidade, formulários com campos estranhos, atendimento automatizado com respostas travadas. Hoje esse quadro mudou.
Com modelos de IA generativa, os criminosos conseguem produzir em poucos minutos textos completos, avisos oficiais, e-mails de confirmação e até respostas de "atendentes" em chats que parecem humanas. A escrita fica correta, o tom fica formal, os termos técnicos usados são os mesmos que aparecem nos comunicados verdadeiros do governo. Isso derruba um dos principais sinais de alerta que o público aprendeu a observar ao longo dos anos.
Há também relatos de uso de IA para clonagem de voz. Nesses casos, o criminoso liga para a vítima se passando por atendente de um órgão público, e a voz do outro lado da linha soa profissional, sem sotaque estranho, sem ruídos, sem pausas suspeitas. Em versões mais sofisticadas, é possível até imitar a voz de um parente ou de um servidor conhecido, o que aumenta o poder de convencimento.
Outro uso preocupante da IA é a geração de documentos falsos em alta qualidade — comprovantes, notificações, extratos, cartas de concessão — que a vítima recebe por e-mail ou WhatsApp como "prova" de que a solicitação foi aceita. Muitos brasileiros só percebem que caíram no golpe semanas depois, quando o benefício não chega ou quando aparece um empréstimo indevido no extrato.
A lição prática é que o critério antigo de "tem erro de português, é golpe" não vale mais sozinho. Um site pode estar impecável na aparência e ainda assim ser fraudulento. Por isso, a verificação precisa passar por outros filtros, que veremos adiante.
Quem são os principais alvos: aposentados, pensionistas e beneficiários
A escolha dos serviços clonados não é aleatória. Os criminosos miram justamente os públicos com maior volume de acessos e menor familiaridade com ferramentas digitais de checagem: aposentados e pensionistas do INSS, beneficiários do BPC/LOAS, trabalhadores que buscam saque do FGTS, contribuintes na fila da restituição do Imposto de Renda e famílias inscritas em programas sociais.
Aposentados e pensionistas costumam ser especialmente visados porque recebem benefício mensal fixo, têm crédito pré-aprovado em várias instituições e, em muitos casos, têm menos hábito de conferir a URL do navegador. Um golpe bem-sucedido contra esse público pode significar a contratação indevida de um empréstimo consignado, com parcelas descontadas direto do benefício por vários meses.
O consignado, aliás, entra com frequência no roteiro do golpe. Os criminosos oferecem "liberação de crédito facilitado", "revisão de margem" ou "antecipação do 13º" como isca. Vale reforçar duas informações que ajudam o beneficiário a se localizar: no consignado do INSS, o prazo máximo é de 108 meses, a margem total é de 40% do benefício (com 5% reservados para cartão) e a carência da primeira parcela chega a até 90 dias. No consignado privado (CLT), o prazo máximo é de 96 meses e a margem é de 35%. Qualquer proposta que fuja drasticamente desses parâmetros — como "empréstimo em 200 meses" ou "margem de 80%" — é sinal claro de fraude.
Outro ponto importante: quem recebe BPC/LOAS costuma ser abordado com a promessa de "consignado garantido". Por lei, o BPC/LOAS pode, sim, ser usado para consignado. Porém, no cenário atual, com aumento das revisões e cessações desse tipo de benefício, as instituições autorizadas reduziram fortemente a oferta. Ou seja: se alguém garante liberação imediata de consignado no BPC, especialmente por meio de site clonado ou link recebido no WhatsApp, é golpe.
Beneficiários de programas de transferência de renda também são atacados com mensagens do tipo "seu Bolsa Família foi bloqueado, clique aqui para regularizar". A urgência é justamente o gatilho psicológico explorado: o criminoso quer que a vítima aja rápido, sem checar.
Como identificar um site falso do INSS, Receita, Caixa e outros órgãos
A melhor defesa contra a Operação AD Phishing — e contra qualquer golpe do tipo — é aprender a diferenciar um portal oficial de uma imitação. Alguns sinais são bastante confiáveis:
1. Verifique sempre o final do endereço. Sites oficiais do governo federal terminam em ".gov.br". O Meu INSS oficial fica em meu.inss.gov.br. A Receita Federal fica em gov.br/receitafederal. A Caixa fica em caixa.gov.br. Se o endereço termina em ".com", ".net", ".online", ".site", ".app" ou tem hífens estranhos, desconfie imediatamente.
2. Não confie em anúncios patrocinados. Como mostrou a investigação, boa parte dos sites falsos chega ao usuário justamente por meio de anúncios pagos no topo dos resultados de busca. Sempre role a página até encontrar o resultado orgânico e confira o domínio antes de clicar. Melhor ainda: digite o endereço oficial direto na barra do navegador ou acesse pelo portal gov.br.
3. Prefira o app oficial. Para serviços do INSS, o caminho mais seguro é o aplicativo Meu INSS, baixado direto pelas lojas oficiais Google Play ou App Store. O mesmo vale para o aplicativo Caixa Tem, FGTS, Carteira de Trabalho Digital e gov.br. Nenhum atendente legítimo vai pedir para você baixar um app por link enviado no WhatsApp.
4. Desconfie de cobrança por Pix. Nenhum órgão do governo pede Pix, boleto avulso, cartão de crédito ou depósito para liberar benefício, restituição, saque, revisão ou cadastro. Se apareceu cobrança, é golpe — sem exceção.
5. Fuja de urgência artificial. Mensagens que dizem "seu benefício será bloqueado em 24 horas", "última chance para receber", "saldo será perdido hoje" são táticas clássicas para tirar a capacidade de reflexão da vítima. Órgãos públicos não trabalham assim.
6. Cheque o cadeado — mas com cautela. O cadeado no navegador indica apenas que a conexão está criptografada, não que o site é oficial. Muitos sites falsos também exibem cadeado. Ele é necessário, mas não é suficiente.
7. Nunca informe senha do gov.br em formulários externos. A senha única do gov.br dá acesso a INSS, Receita, FGTS, Carteira de Trabalho e outros. Ela só deve ser digitada dentro dos domínios oficiais. Se um site pede essa senha em janela pop-up ou em formulário com aparência diferente do padrão, feche imediatamente.
O que fazer se você já caiu no golpe
Se você acredita que informou dados em um site falso, pagou um Pix indevido ou permitiu acesso à sua conta, o tempo é o fator mais importante. Quanto mais rápido agir, maiores as chances de reverter o prejuízo. Um roteiro prático:
Passo 1 — Troque imediatamente as senhas. Comece pela senha do gov.br, pelo aplicativo do banco, pelo e-mail e pelas redes sociais. Ative a verificação em duas etapas em todas as contas em que for possível.
Passo 2 — Avise o banco. Ligue para a central do seu banco e informe que houve fraude. Peça o bloqueio de operações, cartões, Pix e crédito pré-aprovado. Solicite o registro formal da ocorrência e guarde o número do protocolo. No caso de Pix pago, existe o Mecanismo Especial de Devolução, que pode reverter o valor se o pedido for feito rápido.
Passo 3 — Registre boletim de ocorrência. É possível fazer online, pela delegacia eletrônica do seu estado, ou presencialmente. Esse registro é a base para contestar débitos, empréstimos indevidos e restituições fraudulentas.
Passo 4 — Denuncie à Polícia Federal. Golpes envolvendo sites falsos de órgãos federais, uso indevido de identidade digital e fraudes com dados do INSS ou da Receita são de competência da PF. Utilize os canais oficiais de denúncia da corporação.
Passo 5 — Confira seu benefício e sua conta. Entre no aplicativo Meu INSS e verifique se há algum empréstimo consignado novo ou desconto que você não reconhece. Se houver, conteste pelo próprio aplicativo e junto ao banco que fez a operação. Peça também consulta de restrições no seu CPF para saber se abriram contas ou financiamentos em seu nome.
Passo 6 — Guarde tudo. Prints da tela, endereço do site falso, número do Pix pago, mensagens recebidas, e-mails, comprovantes. Esse material será exigido para contestação e investigação.
Passo 7 — Peça ajuda de alguém de confiança. Muita gente sente vergonha ao perceber que caiu em um golpe e demora a agir. Isso só piora a situação. Fale com um filho, um neto, um parente próximo ou um profissional que possa acompanhar o processo com você.
Passo a passo para se proteger no dia a dia
Além de saber reagir, é fundamental construir hábitos que reduzam o risco de ser fisgado. Sete práticas simples fazem enorme diferença:
Digite endereços em vez de clicar em links. Sempre que possível, acesse INSS, Receita, Caixa e gov.br digitando o endereço direto no navegador, ou pelo aplicativo oficial. Evite clicar em links enviados por SMS, WhatsApp ou e-mail.
Desconfie do primeiro resultado do Google. Como a Operação AD Phishing mostrou, o topo pode ser justamente o anúncio pago do criminoso. Verifique o domínio antes de clicar.
Ative a verificação em duas etapas. No gov.br, no banco, no e-mail, no WhatsApp. Essa camada extra impede que o golpista entre na sua conta mesmo que tenha capturado a senha.
Não compartilhe códigos recebidos por SMS. Nenhum atendente legítimo pede o código de seis dígitos enviado no seu celular. Esse código é a chave da sua conta.
Nunca instale aplicativos por link. Instale apenas pelas lojas oficiais Google Play e App Store, e confira o nome do desenvolvedor antes de baixar.
Bloqueie o consignado se não pretende contratar. Quem recebe do INSS pode pedir o bloqueio de novos empréstimos consignados diretamente no aplicativo Meu INSS. Essa trava, ativada uma única vez, impede contratações fraudulentas.
Converse com a família. Aposentados e pensionistas são alvo preferencial. Se você é filho, sobrinho ou neto, dedique alguns minutos para explicar aos mais velhos como identificar um site falso e o que fazer em caso de mensagem suspeita.
Conclusão: o golpe evoluiu, sua defesa também precisa evoluir
A Operação AD Phishing da Polícia Federal deixa claro que o golpe digital contra o cidadão comum entrou em uma nova fase. Os criminosos deixaram de depender de mensagens toscas e passaram a montar operações profissionais, com anúncios pagos, sites impecáveis e IA para simular atendimento humano. Diante disso, contar apenas com "desconfiar de erro de português" não é mais suficiente.
O caminho seguro passa por três atitudes que valem para toda a família: acessar serviços públicos apenas por canais oficiais (aplicativos e domínios .gov.br), nunca pagar Pix para liberar benefício, restituição ou saque, e ativar todas as camadas de proteção disponíveis, como verificação em duas etapas e bloqueio de novos consignados.
Se você já foi vítima, não perca tempo com vergonha ou culpa: aja rápido, troque senhas, avise o banco, registre ocorrência e procure a Polícia Federal. E se ainda não foi, aproveite este momento para conferir seu extrato do INSS, revisar as senhas mais importantes e conversar com quem convive com você. Golpe evita-se antes — e o melhor antes é hoje.
Referências
- Polícia Federal — Operação AD Phishing (01/07/2026).
Comentários (0)
Ainda não há comentários. Seja o primeiro a comentar!
Deixe seu comentário
📩 Gostou? Receba mais como este
Novidades sobre consignado e FGTS toda semana.